El ataque de Trigona aprovecha técnicas como la descompilación y modificación de código utilizando r2ai, dificultando su detección por soluciones estándar. El malware actúa sobre plataformas Linux alterando permisos y atributos de archivos críticos mediante el comando ‘chattr‘, añadiendo o eliminando la inmutabilidad (flag ‘i’) para facilitar su cifrado posterior. Se identifican archivos como Filecoder y el hash SHA-256 c08a752138a6f0b332dfec981f20ec414ad367b7384389e0c59466b8e10655ec como IoCs relevantes.
Trigona puede cifrar archivos esenciales de Linux y alterar atributos del sistema para persistir y bloquear mecanismos de recuperación. El impacto abarca interrupción de servicios, pérdida de datos críticos y posibles demandas de rescate. La manipulación de flags y atributos complica la restauración y el análisis forense tras el incidente, aumentando el tiempo de recuperación y los costes para la organización.
Para mitigar el riesgo, se recomienda limitar el acceso a comandos como ‘chattr’, aplicar listas de control de acceso estrictas, realizar auditorías regulares de integridad y utilizar herramientas EDR habilitadas para Linux. Actualizar el sistema y los parches de seguridad, restringir la ejecución de scripts no autorizados y monitorizar cambios anómalos en archivos críticos forman parte de una defensa eficaz contra este tipo de amenazas.
